Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Gefahr durch DNS-Spoofing besteht dann, wenn eine Authentisierung anhand eines Rechnernamens durchgeführt wird. Eine hostbasierte Authentisierung, d. h. Rechte werden anhand eines Rechnernamens oder IP-Adresse gewährt, sollte durch eine der folgenden Konfigurationen (auch in Kombination) abgesichert werden:
1. Es sollten IP-Adressen, keine Hostnamen verwendet werden.
2. Wenn Hostnamen verwendet werden, sollten alle Namen lokal aufgelöst werden (Einträge in der Datei /etc/hosts).
3. Wenn Hostnamen verwendet werden, und diese nicht lokal aufgelöst werden können sollten alle Namen direkt von einem Nameserver aufgelöst werden, der für diese Namen der sogenannte Primary- oder Secondary-Nameserver ist, d. h. er hat sie nicht in einem temporären Cache, sondern dauerhaft abgespeichert.
Punkt 1 bietet die höchste, Punkt 3 die niedrigste Sicherheit. Das Ziel obiger Konfigurationen ist es, die Zuordnung zwischen IP-Adressen und Rechnernamen in einem sicheren Umfeld vorzunehmen. Auf keinen Fall sollte ein hostbasierter Zugang über einen Hostnamen gewährt werden, wenn die Namensauflösung nicht direkt ausgeführt werden kann, also ein Cache zwischengeschaltet ist.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000